포스팅 내용

악성코드 분석 리포트

라자루스(Lazarus)그룹, 미국 라스베가스 CES2020 참관단 참가신청서 사칭 APT 공격 정황 포착



안녕하세요 이스트시큐리티 대응센터(ESRC)입니다. 


금일 ESRC는 라자루스(Lazarus) 그룹의 사이버 공격정황을 포착하였습니다. 


이번 공격은 악성파일이 포함된 이메일을 특정 대상에게 발송하는 방식을 사용하고 있으며, 미국 라스베가스에서 개최 예정인 세계 최대 소비자 가전 박람회 CES2020 참관단 참가 신청서를 사칭하고 있습니다. 


[그림 1] CES2020 참관단 참가 신청서를 사칭하고 있는 악성 파일


실제로 최근에 CES2020 참관단을 모집했으며, 이 모집공고는 10월 18일 마감된 것으로 확인되었습니다. 


[그림2] 실제 CES2020 참관단 모집 페이지


만약 이메일을 수신한 대상자가 국제전자제품박람회(CES2020) 참관단 참가 신청서를 위장하고 있는 악성 첨부파일을 클릭하면 한글파일에 포함된 쉘코드가 작동하는데, 이 쉘코드는 C2 분석을 방해하기 위한 목적으로 작동되며, C2 서버에서는 동영상을 위장한 64비트의 악성 dll 파일을 내려줍니다. 


현재 알약에서는 해당 악성파일에 대해 Exploit.HWP.Agent, Trojan.Agent.113664H로 탐지중에 있으며, 금일 라자루스 그룹의 공격과 관련된 더 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.


*IoC 정보

File Name

MD5

CES2020 참관단.hwp

f865ea5f29bac6fe7f1d976a36c79713









티스토리 방명록 작성
name password homepage